机房物理设备维护手册

机房物理设备维护手册灰尘是机房设备的最大杀手，定期给服务器除尘是必不可少的工作。尤其是未经特殊规划和处理的普通存放环境，使用一段时间后，服务器中会沉积大量灰尘。此时就需要定期为服务器清理灰尘，这一点在夏季尤为重要。作为一个系统工程同样需要注意一些事项。首先对机房内的灰尘做出清理；1、设定合理的除尘时间在不影响正常工作的前提下对机房内设备进行除尘。2、谨防静电危害拆机清理设备时，首先要避免人员带电对设备造成损害。在清理前应当先穿好防静电服，佩戴除静电环等设备。避免带电拆机，必须在完全断电、服务器接地良好的情况下进行，即使是支持热插拔的设备也是如此，以防止静电对设备造成损坏。对于显示器等设备应首先做放电处理。3、了解设备结构由于机房设备来自不同厂商，各自设计并不相同，特别是许多品牌服务器机箱的设计比较特殊，需要特殊的工具或机关才能打开，在卸机箱盖的时候，需要仔细看说明书，不要强行拆卸。4、选择清洁工具设备的清洁不需要很复杂的工具，一般的除尘维护只需要准备十字螺丝刀、平口螺丝刀、油漆刷或者油画笔就可以了。电吹风、无水酒精、散热硅油、脱脂棉球、钟表起子、镊子、皮老虎也是必备的工具。如需简单维护，还需要尖嘴钳、试电笔、万用表等设备。下面就对机房所要维护的各种设备详细的列出维护方法及步骤：首先，对机房现有的物理设备工作状况进行详细的了解，对物理设备最近三个月或是一年当中出现的主要问题进行全面的了解，哪些设备频繁出现的问题有哪些？哪些问题是经过维护之后，暂时性解决的，还是永久性解决的。哪些问题最近新出现的，出现的次数频繁不频繁，对工作早成了哪些不便？当这些问题通过网络管理员的记录或是口述中了解之后，再对机房内的物理设备进行全面的，又有重点的排查及维护，这样既有重点，又有的放矢，不会浪费客户及本公司的资源，可以在最短的时间内解决最多的问题。其次，当我们走进机房时，要注意机房内的环境。经过几年之后的运作，机房内可能已经不如当初设备和线路摆放的井然有序，对哪些线路连接哪些设备，哪些设备工作的范围，哪些是关键部位，哪些是冗余部分，对于设备的各个部分功能，工作范围，现行的工作流程，都要做到心中有数，这些都是需要与机房管理员进行交流沟通之后得到的，对设备的检修和维护重要，但是有重点的进行工作，如何迅速的排查维护，才是提高客户信赖的源头。因此，对网络设备，特别是设备电源等在不停止设备运作情况下除尘，在维护之中我们彻底清扫机房内部和周围环境卫生，为机房内所有设备除尘，排查设备在使用中出现的故障和缺陷，检查、测试机房电源工作状况，并做好维护记录，检查各种电缆和导线的固定、走向及通电话温升情况是否符合要求。最后，当我们对于机房的整体物理设备有了全面而有重点的了解之后，下面我们就可以展开我们的工作了。前面花的时间可能比较长，但是我觉得是行之有效的，是事半功倍的做法。当然，我们所有做的维护设备记录要专门记录，以备随时查看。下面就说一下如何对日常工作的设备进行的维护，一定要在与机房管理员协调之后，在对现行工作影响不大或是无影响的前提下对设备进行维护。主要物理设备的维护和清理：1、华为交换机4台（6503，3900，2106，2300）根据内网拓扑图规划内网DMZ区选用华为6503型号连接内网对外提供的服务器（例如：web服务器、mail服务器）以及独立服务器（例如软件视频服务器、mcu服务器）。因为dmz区域要既要提供内部访问也要对外访问，所以高效和安全要同时保证，所以选用千兆以太网24口交换机，也有较高的扩展性。办公内网选用2106交换机，能保证内网正常办公。终端用户局域网连接至3900交换机，郑州市ne40选用2300。在主干网络上最好申请一台备用的交换机做故障切换技术防止网络突变。在日常工作中对交换机的维护工作也不可小看，为保障自身网络安全，企业有必要对局域网上的交换机进行全面了解。对各项配置命令要准确无误，以免造成网络不通或者安全隐患，除了硬件的物理连接保证安全之外，对软件及系统本身也要加强防护，例如抵挡DoS攻击，从可用性出发，交换机和路由器需要能抵挡拒绝服务式Dos攻击，并在攻击期间保持可用性。理想状态是他们在受到攻击时应该能够做出反应，屏蔽攻击IP及端口。基于角色的管理给予管理员最低程序的许可来完成任务，允许分派任务，提供检查及平衡，只有受信任的连接才能管理它们。管理权限可赋予设备或其他主机，例如管理权限可授予一定IP地址及特定的TCP/UDP端口。对远程连接进行加密，交换机的配置文件的安全也是不容忽视的，通常配置文件保存在安全的位置，在混乱的情况下，可以取出备份文件，安装并激活系统，恢复到已知状态。加强对交换机的安全管理：一、修补程序和更新二、使用管理访问控制系统三、禁用未使用的端口四、关闭危险服务五、利用VLAN技术常见利用交换机漏洞的预防一、ARP攻击预防二、VLAN跳跃攻击预防三、生成树攻击预防2、华为路由器（AR-18-11）华为AR-18-11路由器是华为公司2005年推出的一款中低端路由器，在网络链路迅速发展的今天，在机房的恶劣环境中工作了将近五年的设备，或多或少都会有些问题。首先，我们把工作着的路由器现行的配置文件导出到PC上，与备份的路由器配置表进行比较，还要与机房人员进行沟通，了解现在是否需要重新增加设备或是需要增加路由配置，如果不需要，就把备份的路由配置重新导入路由器设备，如果需要，就要对路由器重新进行配置，以满足客户的需求。对于路由器本身的硬件方面，我们可以通过命令来查看系统资源的占用，应为对于长时间工作的物理设备来说，硬件的老化是再所难免的，我们可以查看CPU的利用率，内存的占用率等，以此来判断路由器现在工作的性能，是不是仍然可以承载现有的工作环境。当我们做完这些工作之后，重新连接到网络上，观察设备运作情况是否良好，使用PING命令对各个端口连接的IP地址进行测试，以保证维护后的设备能够正常工作。无任何影响的话，要对设备本身进行最后的除尘工作。如果在考察当中，不能满足工作需求时，就要考虑更换设备，现在新设备更加廉价，功能更多，适当的更换设备能够增加网络链路的可靠性。3、光电转换器1部含13模块，一块千兆光电转换器是一种类似于基带MODEM（数字调制解调器）的设备，和基带MODEM不同的是接入的是光纤专线，是光信号。该设备采用大规模集成芯片，电路简单，功耗低，可靠性高，具有完整的告警状态指示和完善的的网管功能。根据配置单要求含13模块，一块千兆，在此我们选用首佳SJ210系列，电口支持10Mbps、100Mbps、1000Mbps自动适应，光口工作速率1000Mbps功能特性。光电转换器的结构光电转换器包括三个基本功能模块：光电介质转换芯片、光信号接口(光收发一体模块)和电信号接口(RJ45)，如果配备网管功能则还包括网管信息处理单元。光电转换器元器件的选择及维护工作在以太网光电转换器设计中，元器件的选择举足轻重，它决定了产品的性能、寿命和成本。光电介质转换芯片(OEMC)是整个收发器的核心。选择介质转换芯片是以太网光电转换器设计的第一步，也是非常重要的一步。它的选择直接影响和决定了其它元器件的选择。4、IDS（100M）一台IDS入侵检测系统，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。IDS连接在所有所关注流量都必须流经的链路上。由于当今网络攻击类型和数量繁多，因此我们要对IDS设备的产品检测率、误报率、检测行能进行重点的检查和维护。由于IDS安装在用户网络内部，起到保护整个用户网络的关键作用，观察IDS传感器在网段隐患部位的工作情况是否正常。对各类报警，提示信息，误报的差错率等是否能够达到要求。对于IDS设备的事件分析功能，攻击的响应方式，攻击特征库升级是否及时，对各种系统漏洞是否能够及时的提供补救措施,报表的自动生成，误报，漏报，阻断攻击与防火墙的联动功能是不是都能达到工作的要求，这些都是检测的要点。另外要对实际的网络压力下的检测性能进行测试，这也是非常关键的，对于在指定的工作环境中，当网络流量达到一定强度时，对于网络攻击事件的报告是不是准确，会不会产生漏报和误报。如果当前产品满足不了要求时，要考虑更换设备，因为网络环境不是一成不变的，选择合适的方式。说了这么多，其实对于入侵检测系统，最主要测试的是三方面的内容是不是满足工作要求：一，检测率，对于网络中的繁多的攻击手段，设备究竟可以识别多少.二，对于虚假的攻击，甚至是正常的网络流量会不会错误报警。三，在网络负载过高的情况下，还能不能检测到攻击。这些都是可以在网络中进行模拟测试的。5、防火墙（1000M）一台，100M一台在逻辑上，防火墙其实是一个分析器，是一个分离器，同时也是一个限制器，它有效地监控了内部网间或Internet之间的任何活动，保证了局域网内部的安全。防火墙可以控制网络之间的访问，最广泛应用的是嵌在传统路由器和多层交换机上的，也称作ACLs。防火墙的管理与维护使防火墙正常运转还要做大量的工作。值得注意的是，这里许多维护工作是自动进行的。管理与维护工作主要有4个方面，它们分别是：建立防火墙的安全策略、日常管理、监控系统、保持最新状态。一、建立防火墙的安全策略安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问，如读取、删除、下载等行为的规范，以及哪些人拥有这些权力等信息。1)网络服务访问策略网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，还包括对拨号访问以及PPP(点对点协议)连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法，所以其他的途径也应受到保护。比如，如果一个防火墙阻止用户使用Telnet服务访问因特网，一些人可能会使用拨号连接来获得这些服务，这样就可能会使网络受到攻击。网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情，从文件切碎条例到病毒扫描程序，从远程访问到移动介质的管理。小熊在线)防火墙的设计策略防火墙的设计策略是具体地针对防火墙，负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前，必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基本策略中的一种：①除非明确不允许，否则允许某种服务;②除非明确允许，否则将禁止某项服务。小熊在线执行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种)，也可以实施一种限制性策略(第二种)，这就是制定防火墙策略的入手点。二、日常管理日常管理是经常性的琐碎工作，以使防火墙保持清洁和安全。为此，需要经常去完成的主要工作：数据备份、账号管理、磁盘空间管理等。1)数据备份一定要备份防火墙的数据。使用一种定期的、自动的备份系统为一般用途的机器做备份。当这个系统正常做完备份之后，最好还能发送出一封确定信，而当它发现错误的时候，也最好能产生一个明显不同的信息。2)账号管理账号的管理。包括增加新账号、删除旧账号及检查密码期限等，是最常被忽略的日常管理工作。在防火墙上，正确的增加新账号、迅速地删除旧账号以及适时地变更密码，绝对是一项非常重要的工作。3)磁盘空间管理数据总是会塞满所有可用的空间，即使在几乎没有什么用户的机器上也一样。人们总是向文件系统的各个角落丢东西，把各种数据转存到文件系统的临时地址中。这样引起的问题可能常常会超出人们的想象。暂且不说可能需要使用那些磁盘空间，只是这种碎片就容易造成混乱，使事件的处理更复杂。因此，最好有一个人定期检查磁盘，如果让